コンテンツセキュリティポリシーおよび Experience Cloud ID サービス content-security-policies-and-the-experience-cloud-id-service
コンテンツセキュリティポリシー(CSP)は、Web ページに読み込まれるリソースのタイプをブラウザーで制御できるようにするために HTTP ヘッダーで使用されるセキュリティ機能です。ID サービスを使用していて、信頼されているドメインからのリソースを受け入れる許可リストを用いる厳格な CSP がある場合は、このセクションを確認してください。ここに記載されているアドビドメインを CSP 許可リストに追加する必要があります。
CSP レビュー section-5fde5c00a678455c914b8307a8caab82
CSP は HTTP ヘッダー Content-Security-Policy を使用してブラウザーが許可したりページに読み込んだりするリソースのタイプを制御します。CSP を適用すると以下の問題を防ぐことができます。
- ソースが不明、または許可リストに含まれていない JavaScript ファイルの読み込み。
- クロスサイトスクリプティング(XXS)攻撃。
- データインジェクション攻撃。
- サイト改ざん攻撃。
- マルウェアの配布。
CSP の使用は一般的であり、よく理解されています。このドキュメントの目的は CSP について詳しく説明することではありません(詳しくは、後にある関連情報リンクを参照してください)。重要なのは、厳格なセキュリティポリシーを適用する必要がある場合に、CSP に追加する必要があるアドビのドメイン名を理解することです。これらのドメインを追加することで、お客様のサイトにアクセスした訪問者のブラウザーが、使用する Experience Cloud リソースに対する重要な呼び出しをおこなえるようになります。
許可リスト用の Experience Cloud ドメイン section-30693e9a96834edfbf04de9e698cf2aa
現在使用している Experience Cloud ソリューションまたはサービスごとに、これらのドメイン名または URL を CSP に追加してください。
CSP に以下を追加します。
- *.2o7.net
- *.omtrdc.net
CSP を変更し、以下のドメインを含めます。
- connect-src 'self'
https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com; - img-src 'self'
https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com; - script-src 'self'
https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com; - frame-src 'self'
https://*.demdex.net; - Adobe Launch を使用してタグをデプロイする場合は、ドメインのリストに
https://assets.adobedtm.comも追加する必要があります。
demdex.net ドメインの呼び出しは、Cookies および Experience Cloud ID サービスの生成と、ID 同期用に使用されます。 詳しくは、Demdex ドメインの呼び出しについても参照してください。
クエリ文字列パラメーターを制限する場合は、次のパラメーターを許可リストに加えます。
s_kwcid(!を使用)ef_id(:を使用)
URL 内の ! 文字をブロックする場合は、その文字も許可リストに加えます。
Advertising Analytics では s_kwcid のみを使用しますが、Advertising 検索、Social、Commerce、Advertising DSPでも ef_id を使用します。
CSP に次のドメインを追加します:
.everestjs.net.everesttech.net